Wstęp

W dniu 20 maja 2021 r. belgijski organ ochrony danych zatwierdził pierwszy paneuropejski kodeks postępowania (RODO) w zakresie przetwarzania danych osobowych dla dostawców usług chmurowych (EU Data Protection Code of Conduct for Cloud Service Providers, w skrócie: EU Cloud CoC). Jego zatwierdzenie poprzedziła pozytywna opinia Europejskiej Rady Ochrony Danych[1]. Podmiotem monitorującym przestrzeganie postanowień kodeksu została organizacja SCOPE Europe.

EU Cloud CoC

Kodeks jest skierowany do dostawców usług w chmurze, niezależnie od rodzaju świadczonych przez nich usług (np. IaaS, PaaS czy SaaS). Dotyczy on wszystkich rodzajów chmury (prywatna, hybrydowa, publiczna). Kodeks obowiązuje jedynie w relacjach business-to-business (B2B), i to w sytuacjach, w których dostawca chmury pełni rolę podmiotu przetwarzającego (procesor). Nie ma natomiast zastosowania do umów, w których dostawca jest administratorem, jak również wówczas, gdy świadczy on usługi dla użytkowników będących konsumentami (B2C). Postanowienia kodeksu odpowiednio stosują się do „innych podmiotów przetwarzających” (podprocesor).

EU Cloud CoC stanowi instrument wykazania zgodności z przepisami RODO[2] (art. 40). W konsekwencji sygnatariuszy kodeksu uznać należy za podmioty dające gwarancje, o których mowa w art. 28 ust. 1 i 4 RODO („gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, zgodnych z RODO”).

EU Cloud CoC konkretyzuje wymagania art. 28 RODO oraz innych przepisów RODO istotnych dla przetwarzania danych w chmurze. Dotyczy to m.in. podstaw przetwarzania danych osobowych (art. 5), środków bezpieczeństwa danych (art. 32), zgłaszania naruszeń ochrony danych (art. 33 i n.) czy podstaw transferu danych do państwa trzeciego (art. 44 i n).

Wymagania kodeksu zostały ujęte w aneksie w postaci listy kontrolnej. Odnoszą się one m.in. do norm: ISO/IEC 27001:2013, ISO/IEC 27018:2019 oraz ISO/IEC 27701:2019.

Przystąpienie do kodeksu jest dobrowolne, w pierwszych dniach jego obowiązywania do przestrzegania jego zasad zobowiązali się światowi dostawcy chmury (m.in. Google i Microsoft). Podkreśla to rolę kodeksu jako kluczowego dokumentu dla przetwarzania danych osobowych w chmurze.

EU CoC dostępny jest na stronie internetowej twórców kodeksu: https://eucoc.cloud/fileadmin/cloud-coc/files/former-versions/European_Cloud_Code_of_Conduct_2.10.pdf.

W kolejnych numerach newslettera RODO dokonamy szczegółowej analizy postanowień kodeksu.

Kolejny kodeks na horyzoncie

Warto również zwrócić uwagę na kodeks postępowania dla dostawców infrastruktury chmurowej (IaaS), którego autorem jest organizacja non profit Cloud Infrastructure Service Providers (CISPE). Dnia 19 maja 2021 r. Europejska Rada Ochrony Danych wydała pozytywną opinię w sprawie projektu decyzji francuskiego organu nadzorczego (CNIL) na temat kodeksu CISPE[3]. CNIL, który został wybrany jako organ wiodący przez autorów kodeksu, jeszcze go nie przyjął. Kodeks ten, jeżeli zostanie przyjęty, również będzie miał charakter międzynarodowy (paneuropejski). Z kodeksem CISPE można zapoznać się pod adresem: https://cispe.cloud/code-of-conduct/.

Źródło: https://www.dataprotectionauthority.be/citizen/the-be-dpa-approves-its-first-european-code-of-conduct; https://eucoc.cloud/en/home/; https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-162021-draft-decision-belgian-supervisory_en.

[1] Opinion 16/2021 on the draft decision of the Belgian Supervisory Authority regarding the „EU Data Protection Code of Conduct for Cloud Service Providers” submitted by Scope Europe, 19 maja 2021 r., [online] https://edpb.europa.eu/system/files/2021-05/edpb_opinion_202116_eucloudcode_en.pdf (dostęp: 1.06.2021).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[3] Opinion 17/2021 on the draft decision of the French Supervisory Authority regarding the European code of conduct submitted by the Cloud Infrastructure Service Providers (CISPE), 19 maja 2021 r., [online] https://edpb.europa.eu/system/files/2021-05/edpb_opinion_202117_cispecode_en_0.pdf (dostęp: 1.06.2021).